Noticia Click to Call en iOS: Facebook Messenger, Gmail o Google+ permiten forzar llamadas con ver un...

En iOS está documentado que es posible utilizar URIs del tipo tel: para crear enlaces que abran la aplicación de llamar y marquen directamente a un número de teléfono. Del mismo modo que cuando se usa mailto: en un enlace para forzar que se abra la aplicación de Mail en iOS se construya un correo electrónico. El problema radica en que Apple en su documentación deja claro que la alerta de que se va a realizar una llamada de teléfono debe ser responsabilidad de la app que abre ese enlace, y parece que Facebook, Google y muchas otras empresas no lo están teniendo en cuenta.


Figura 1: Enlace URI para forzar una llamada de teléfono

Lo peor es que si no es necesario que se haga clic en el enlace de tipo tel: ya que con un sencillo código JavaScript es posible hacer que el enlace haga clic en si mismo, por lo que con compartir el enlace de una web, es decir, un http:// y que el usuario lo visite desde una app insegura, se podría forzar la llamada de teléfono.


Como se puede ver en estas imágenes animadas, Facebook Messenger y GMail son vulnerables a estos ataques en iOS, y fácilmente se puede forzar una llamada sin informar al usuario de que esto se va a producir.


Figura 2: Facebook Messenger

Figura 3: Gmail para iOS



La presentación completa la dio el investigador en la pasadas conferencias B-Sides de Las Vegas, y aquí puedes ver la explicación completa y las demos en real.


Figura 4: Conferencia en B-Sides sobre estos problemas por parte del investigador Guillame K. Ross
Habrá que ver si estas apps son actualizadas para avisar al usuario del inicio de llamadas telefónicas, aunque tal vez debería ser una solución de Apple iOS, es decir, por ejemplo que se rellene el número de teléfono en la aplicación de llamar pero que el usuario sea el que tenga que dar al botón de iniciar llamada.

Publicado en Seguridad Apple - Google+ - RSS - Eleven Paths



Continúar leyendo...